Check Point Software destaca que campanha maliciosa utiliza anúncios falsos e site clonado para distribuir malware e roubo de dados
No início de 2025, a Check Point Research (CPR), divisão de Inteligência de Ameaças da Check Point Software, identificou uma campanha de ciberataques que explorava a popularidade do serviço Kling AI, uma plataforma de IA generativa especializada em gerar mídias a partir de comandos de texto.
O ataque começou com anúncios enganosos nas redes sociais que levavam a um site falso, projetado para fraudar os usuários e fazê-los baixar arquivos maliciosos.
De anúncios falsos a downloads fraudulentos
O ataque começa com anúncios falsos nas redes sociais. Desde o início deste ano, a equipe da Check Point Reasearch identificou cerca de 70 postagens patrocinadas promovendo falsamente a ferramenta Kling AI. Esses anúncios vêm de páginas fraudulentas que imitam de forma convincente a empresa real.
Ao clicar em um desses anúncios, o usuário é levado a um site falso que imita fielmente a interface do Kling AI.
Assim como a ferramenta verdadeira, o site convida o usuário a fazer upload de imagens e clicar no botão “Gerar” para ver os resultados produzidos por IA. No entanto, em vez de entregar uma imagem ou vídeo, o site oferece um download, que aparenta ser um arquivo compactado com um novo arquivo de mídia gerado por IA.
O arquivo baixado se apresenta como uma imagem inofensiva, com nome como Generated_ Image 2025[.]jpg e até um ícone familiar de imagem. Porém, por trás dessa aparência inofensiva está um programa disfarçado, feito para comprometer o sistema do usuário.
Essa técnica, chamada de mascaramento de nome de arquivo, é uma tática comum usada por criminosos para enganar usuários e levá-los a executar softwares maliciosos.
Ao ser aberto, o programa se instala silenciosamente, garante sua execução automática toda vez que o computador for ligado e verifica se está sendo monitorado ou analisado por ferramentas de segurança, tentandoevitar detecção.
Fase 2: Tomada silenciosa com ferramentas de acesso remoto
Após a abertura do arquivo falso, uma segunda ameaça — mais grave — é ativada. Nessa fase, é instalado um Trojan de Acesso Remoto (RAT), um malware que permite aos atacantes controlar o computador da vítima a distância.
Cada versão dessa ferramenta é ligeiramente modificada para evitar detecção, mas todas incluem um arquivo de configuração oculto que se conecta ao servidor dos atacantes. Esses arquivos também contêm nomes de campanha como “Kling AI 25/03/2025” ou “Kling AI Test Startup”, sugerindo testes e atualizações contínuas por parte dos criminosos.
Uma vez instalado, o malware começa a monitorar o sistema, especialmente navegadores e extensões que armazenam senhas ou dados sensíveis, permitindo o roubo de informações pessoais e acesso prolongado ao dispositivo.
Um modus operandi conhecido: rastreando a campanha
Embora a identidade exata dos criminosos permaneça desconhecida, evidências apontam fortemente para atores de ameaça do Vietnã.
Golpes e campanhas de malware com base no Facebook são táticas conhecidas entre grupos da região, especialmente aqueles focados em roubo de dados pessoais.
A análise revelou várias pistas nesse sentido. Campanhas anteriores com temas de ferramentas de IAcontinham termos em vietnamita no código do malware. De forma consistente, os pesquisadores da CheckPoint Software encontraram diversas referências, como mensagens de debug, em vietnamita nesta campanha recente.
Essas descobertas estão alinhadas com padrões mais amplos observados por outros pesquisadores de segurança que investigam campanhas similares de malvertising no Facebook.
Como se defender da nova geração de ameaças com tema de IA
À medida que ferramentas de IA generativa ganham popularidade, cibercriminosos encontram novas maneiras de explorar essa confiança. Esta campanha, que personificou o Kling AI por meio de anúncios falsos e sites enganosos, demonstra como atores de ameaça estão combinando engenharia social com malware avançadopara acessar sistemas e dados pessoais dos usuários.
Com táticas que vão desde o mascaramento de arquivos até o uso de ferramentas de acesso remoto e roubo de dados, e indícios de envolvimento de grupos vietnamitas, esta operação se encaixa em uma tendênciamais ampla de ataques direcionados e sofisticados via redes sociais.
Para ajudar organizações a se proteger, a empresa conta com o Check Point Threat Emulation e o Harmony Endpoint que oferecem cobertura abrangente contra métodos de ataque, tipos de arquivos e sistemas operacionais, bloqueando de forma eficaz as ameaças descritas neste comunicado.
Os pesquisadores da Check Point Software seguem ressaltando que a detecção proativa de ameaças e a conscientização dos usuários continuam sendo essenciais na defesa contra ameaças cibernéticas em evolução.
Sobre a Check Point Research
A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças. A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções.
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd é protagonista na proteção da confiança digital (digital trust), utilizandosoluções de segurança cibernética com tecnologia de IA para proteger mais de 100.000 organizações em todo o mundo. Por meio de sua Plataforma Infinity e de um ecossistema aberto, a abordagem de prevenção em primeiro lugar da Check Point Software oferece eficácia de segurança líder do setor, reduzindo riscos.
Brasil pode liderar uso responsável da inteligência artificial, avalia Movimento Brasil Competitivo
Cimed lança Claud.IA, a primeira inteligência artificial brasileira de bulas de medicamentos
TOTVS lança funcionalidades com Inteligência Artificial (IA) no TOTVS Educacional
Acompanhe o melhor conteúdo sobre Inteligência Artificial publicado no Brasil.
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
